En besked fra én lærer til en anden om lærerens bekymring for en bestemt elev blev ved en fejl sendt til alle eleverne i klassen. Og en besked til forældrene om deres barns vanskeligheder og indstilling til Pædagogisk Psykologisk Rådgivning blev ved en fejl sendt til en anden elevs forældre. 

Det er to af eksemplerne fra Datatilsynets database på anmeldelser af brud på persondatasikkerheden i skole-hjem-samarbejdsapp'en Aula. Eksemplerne er med i de afgørelser, som tilsynet i dag har sendt til Frederikshavn, Randers, Esbjerg, Lolland og Hillerød Kommuner. 

Datatilsynet har påbudt to af kommunerne at udarbejde såkaldte konsekvensanalyser og har udtalt kritik og alvorlig kritik i sagerne.

”Når skoler/daginstitutioner og forældre kommunikerer via Aula, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i Aula. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse", siger specialkonsulent i Datatilsynet Signe Vestergård i en nyhed på tilsynets hjemmeside.

Opfordrer kommuner til samarbejde

”Det er en stor og resursekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt".

"Aula er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og Kombit – til at gå sammen og sikre, at borgernes oplysninger i Aula er tilstrækkelig beskyttet", lyder det videre fra specialkonsulenten.

Datatilsynet har valgt at gennemføre et tilsyn med Aula-håndteringen i Esbjerg Kommune, Frederikshavn Kommune, Hillerød Kommune, Københavns Kommune, Lollands Kommune og Randers Kommune. 

De seks kommuner er udvalgt med det formål at få et bredt og repræsentativt indblik i kommunernes overvejelser i forhold til behandlingssikkerheden i Aula. Sagen fra København er endnu ikke færdigbehandlet. 

En stor del af anmeldelserne af brud på persondatasikkerheden i Aula handler om, at  personoplysninger er sendt til en eller flere forkerte modtagere, fortæller Datatilsynet. 

En besked eller fil om et barn kan være sendt til et andet barns forældre, eller en besked kan være sendt til en gruppe af modtagere i stedet for en bestemt modtager. Eller der kan være vedhæftet et forkert dokument, så forældrene har fået persondata om et andet barn end deres eget. Og det kan være oplysninger om børns skolevanskeligheder, koncentrationsbesvær, ordblindhed med videre.

Kritik af besked-svar-system

Datatilsynet har i den forbindelse bemærket, at Aulas beskedmodul er indrettet sådan, at når en besked er sendt til flere modtagere, så er det også mest oplagt at svare alle personer i beskedtråden. Muligheden for kun at svare afstenderen er mindre synlig.  

"En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af Aula utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere", skriver tilsynet.

Tilsynet peger også på, at Aula automatisk kommer med forslag til modtagere, når man begynder at skrive i 'Til'-feltet. 

Det er både medarbejdere, børn og forældre, der dukker op.

"Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager".

Datatilsynet skriver derfor ikke kun til de fem kommuner, afgørelsen handler om, men også til de øvrige 93 kommuner, KL, Kombit og Styrelsen for It og Læring. 

Tilsynet opfordrer dem til at samarbejde om både de krævede konsekvensanalyser og et fælles adfærdskodeks for brugen af Aula. 

Så anbefaler Datatilsynet, at Kombit sammen med de dataansvarlige, dvs. kommunerne, undersøger, om man teknisk kan mindske risikoen for fejlfremsendelse af beskeder og filer.